Zyxel Firewall - Cómo configurar la excepción de IP para eludir los servicios de seguridad en Nebula

Nebula Control Center proporciona una función de excepción de IP que permite a los hosts específicos para eludir los servicios de seguridad. Esto resulta útil cuando tiene clientes o servidores de confianza que no deben ser inspeccionados por el Filtro de contenido, Anti-Malware u otras funciones de seguridad cada vez que acceden a Internet. Los perfiles de excepción de IP se crean en la página Servicio de seguridad en Nebula y se aplican a la configuración del cortafuegos.

Lista de modelos admitidos (Nebula-managed):

• Serie ATP

• Serie USG FLEX

• Serie USG FLEX H

Funcionamiento de IP Exception

Cuando el tráfico coincide con una entrada de excepción de IP configurada (basada en la IP de origen y la IP de destino), el cortafuegos omite los servicios de seguridad seleccionados para ese tráfico. Las reglas del cortafuegos siguen decidiendo si se permite o deniega la sesión, pero se omite la inspección de seguridad para el tráfico coincidente, lo que mejora el rendimiento para los hosts conocidos.

Usos típicos:

• Permitir que un host interno de confianza acceda a Internet sin la inspección del filtro de contenidos.

• Permitir que el tráfico a un servidor externo específico eluda los servicios de seguridad seleccionados.

Pasos de configuración en Nebula

1. Inicie sesión en Nebula Control Center y seleccione su sitio.

2. Navegue hasta Configurar → Cortafuegos → Servicio de seguridad.

3. En la sección Excepción de IP, haga clic en +Añadir para crear un nuevo perfil.

4. Rellene los campos:

   • IP de origen - la dirección IP del cliente o el rango que debe eludir los servicios de seguridad.

   • IP de destino - la dirección IP del servidor o el rango que debe estar exento (o cualquiera, si desea omitir para todos los destinos).

   • Descripción - una descripción clara, por ejemplo Bypass para 192.168.8.33.

     Haga clic en Guardar / Aplicar para que el perfil se transfiera al cortafuegos gestionado por Nebula.

Permitir que un host LAN eluda el filtro de contenido

Este ejemplo muestra cómo funciona IP Exception en un escenario real.

Escenario

• Se ha configurado una política de seguridad con Filtro de contenidos para bloquear la subred 192.168.8.0/24 para que no visite motores de búsqueda como www.google.com..

• A un host específico en esa subred con dirección IP 192.168.8.33 se le debe permitir acceder a estos sitios sin ser bloqueado.

Paso 1 - Política de filtro de contenidos

Ya se ha configurado una política de cortafuegos para que los usuarios de 192.168.8.0/24 no puedan navegar por sitios de motores de búsqueda. Si cualquier host en este rango intenta visitar www.google.comla conexión será bloqueada por el Filtro de Contenidos

Paso 2 - Crear el perfil de Excepción IP

1. En Nebula, vaya a Configurar → Cortafuegos → Servicio de seguridad → Excepción de IP.

2. Haga clic en +Añadir y configure:

   • IP deorigen: 192.168.8.33

   • IPde destino: la IP/rango utilizada por los sitios bloqueados (o cualquiera, dependiendo de tu diseño).

   • Descripción: El host 192.168.8.33 elude el Filtro de Contenidos.

3. Guarde y aplique el perfil para que se transfiera al cortafuegos.

Resultado

• Ahora el host 192.168.8.33 puede omitir servicios de seguridad como el Filtro de contenidos.

• Este host puede navegar por www.google.com con normalidad, mientras que otros clientes de 192.168.8.0/24 siguen bloqueados por la política de Filtro de contenidos existente.

Prácticas recomendadas

• Utilice Excepción de IP sólo para hosts o destinos de confianza (por ejemplo, servidores internos o PC de administradores).

• Mantenga las descripciones claras (incluya la IP y el propósito) para que sea fácil auditar las excepciones más adelante.

• Revise las entradas de Excepción de IP con regularidad para asegurarse de que siguen siendo necesarias.

Al configurar IP Exception en Nebula como se muestra arriba, puede ajustar el equilibrio entre seguridad y rendimiento en sus cortafuegos ATP / USG FLEX / USG FLEX H.